Le 12 juillet 2016, la Commission européenne a adopté la décision relative au bouclier de protection des données UE-États-Unis. Le nouveau cadre règle les échanges transatlantiques de données à caractère personnel.
Le "Privacy Shield" est fondé sur les principes suivants:
- des obligations strictes pour les entreprises qui traitent des données: le ministère américain du commerce procédera régulièrement à des mises à jour et à des réexamens concernant les entreprises participantes. Les entreprises dont la pratique ne sera pas conforme s'exposeront à des sanctions et à une radiation de la liste des entreprises adhérant au dispositif;
- un accès des pouvoirs publics américains soumis à des conditions claires et à des obligations de transparence:De plus, tous les citoyens de l’Union bénéficieront pour la première fois de mécanismes de recours dans ce domaine;
- une protection effective des droits individuels: tout citoyen estimant que les données le concernant ont fait l’objet d’une utilisation abusive dans ce nouveau cadre bénéficiera de plusieurs mécanismes accessibles et abordables de règlement des litiges. L'intéressé pourra également s'adresser à son autorité nationale de protection des données, qui collaborera avec la commission fédérale du commerce pour que les plaintes déposées par les citoyens de l'Union soient examinées et réglées. Lorsqu’un litige n’aura pas été réglé par l'un de ces moyens, un mécanisme d’arbitrage sera disponible, en dernier ressort. La possibilité d'un recours dans le domaine de la sécurité nationale ouvert aux citoyens de l’UE passera par un médiateur indépendant des services de renseignement des États-Unis;
- un mécanisme de réexamen annuel conjoint: ce mécanisme permettra de contrôler le fonctionnement du bouclier de protection des données et sera mené par la Commission européenne et le ministère américain du commerce, lesquels y associeront des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. La Commission adressera un rapport public au Parlement européen et au Conseil.
Depuis la présentation du projet de bouclier de protection des données en février, la Commission a tenu compte de l'avis des autorités européennes de protection des données (le groupe de travail «article 29» ou G29), du point de vue du Contrôleur européen de la protection des données et de la résolution du Parlement européen pour y apporter un certain nombre de clarifications et d'améliorations. La Commission européenne et les États-Unis se sont notamment mis d’accord sur de nouvelles précisions concernant la collecte de données en vrac, sur le renforcement du mécanisme de médiation et sur des obligations plus explicites pour les entreprises en ce qui concerne les limites applicables à la conservation et au transfert ultérieur des données.
Prochaines étapes
La décision constatant le caractère adéquat du niveau de protection sera notifiée aujourd’hui aux États membres et entrera en vigueur immédiatement.
Aux États-Unis, les textes relatifs au bouclier de protection des données seront publiés au Federal Register, l’équivalent du Journal officiel de l'UE. Le ministère américain du commerce mettra le bouclier de protection des données en service. Dès que les entreprises auront eu l’occasion d’examiner le cadre et de se mettre en conformité, elles pourront obtenir une certification auprès du ministère du commerce à partir du 1er août. Parallèlement, la Commission publiera un guide succinct à l'intention des citoyens, leur expliquant les possibilités de recours au cas où ils estimeraient que des données à caractère personnel les concernant ont été utilisées sans qu'il soit tenu compte des règles en matière de protection des données.
Compte tenu de l'avis précédent du G29 et des éventuels modifications ou engagements nouveaux pris par les autorités américaines, le G29 mène actuellement une analyse de la décision de la Commission et se réunira le 25 juillet 2016 afin de finaliser sa position.
Suite à cette réunion, le G29 a émis un communiqué de presse.